동적 라우팅(BGP)을 위한 고객 게이트웨이 디바이스 구성 예 - AWS Site-to-Site VPN

동적 라우팅(BGP)을 위한 고객 게이트웨이 디바이스 구성 예

구성 파일 예시

dynamic-routing-examples.zip을 다운로드하여 다음 고객 게이트웨이 디바이스에 대한 예제 구성 파일을 볼 수 있습니다.

  • 6.2 이상을 실행하는 Barracuda NextGen Firewall F-series

  • Cisco ASA 9.7.1 이상을 실행하는 Cisco ASA

  • Cisco IOS 12.4 이상을 실행하는 Cisco IOS

  • V12.0.0 이상을 실행하는 F5 Networks BIG-IP

  • Fortinet Fortigate 40+

  • 동적 라우팅을 위한 일반 구성

  • 버전 5.20을 실행하는 H3C MSR800

  • SEIL/B1 3.70 이상을 실행하는 IIJ SEIL/B1

  • JunOS 9.5 이상을 실행하는 Juniper J-Series

  • JunOS 11.0 이상을 실행하는 Juniper SRX

  • Juniper ScreenOS 6.1 이상을 실행하는 Juniper SSG 또는 Netscreen 시리즈

  • 6.36을 실행하는 Mikrotik RouterOS

  • PANOS 4.1.2 이상을 실행하는 Palo Alto Networks

  • SonicOS 5.9 또는 6.2를 실행하는 SonicWALL

  • V8.300 이상을 실행하는 Sophos ASG

  • Network OS 6.5 이상을 실행하는 Vyatta

  • Fireware OS 11.12.2 이상을 실행하는 WatchGuard XTM, Firebox

  • Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 또는 SRT100

  • ZLD 4.3 이상을 실행하는 Zyxel ZyWALL

이 파일은 일부 구성요소에 자리 표시자 값을 사용합니다. 예를 들어, 다음을 사용합니다.

  • VPN 연결 ID 및 가상 프라이빗 게이트웨이 ID의 값 예

  • 원격 외부) IP 주소 AWS 엔드포인트에 대한 자리 표시자(AWS_ENDPOINT_1AWS_ENDPOINT_2)

  • 고객 게이트웨이 디바이스의 인터넷 라우팅 가능 외부 인터페이스(your-cgw-ip-address) 및 BGP ASN의 IP 주소에 대한 자리 표시자입니다.

  • IP 주소 내부의 터널에 대한 값 예.

이 파일은 자리 표시자 값을 제공하는 것 외에도 대부분의 AWS 리전에서 IKE 버전 1, AES128, SHA1 및 DH Group 2의 최소 요구 사항을 지정합니다. 또한 인증을 위해 미리 공유된 키를 지정합니다. IKE 버전 2, AES256, SHA256 및 기타 DH 그룹(예: 2, 14-18, 22, 23 및 24) 및 사설 인증서를 활용하려면 예제 구성 파일을 수정해야 합니다.

다음 다이어그램은 고객 게이트웨이 디바이스에 구성된 다양한 구성 요소에 대한 개요를 제공합니다. 여기에는 터널 인터페이스 IP 주소에 대한 예제 값이 포함됩니다.


                동적 라우팅이 가능한 고객 게이트웨이 디바이스

특정 VPN 연결 구성에 해당하는 값이 포함된 구성 파일을 다운로드하려면 Amazon VPC 콘솔을 사용해야 합니다. 자세한 내용은 구성 파일을 다운로드하려면 다음을 수행합니다. 단원을 참조하십시오.

동적 라우팅을 위한 사용자 인터페이스 절차

다음은 사용자 인터페이스(사용 가능한 경우)를 사용하여 고객 게이트웨이 디바이스를 구성하는 몇 가지 예제 절차입니다.

Check Point

다음은 Gaia 웹 포털 및 Check Point SmartDashboard를 사용하여 R77.10 이상을 실행하는 Check Point Security Gateway 디바이스를 구성하는 단계입니다. Check Point Support Center의 Amazon Web Services (AWS) VPN BGP 문서도 참조할 수 있습니다.

터널 인터페이스를 구성하려면

첫 번째 단계는 VPN 터널을 생성하고 각 터널에 대해 고객 게이트웨이 및 가상 프라이빗 게이트웨이의 프라이빗(내부) IP 주소를 제공하는 것입니다. 첫 번째 터널을 생성하려면 구성 파일의 IPSec Tunnel #1 단원에 제공된 정보를 사용합니다. 두 번째 터널을 생성하려면 구성 파일의 IPSec Tunnel #2 단원에 제공된 값을 사용합니다.

  1. SSH를 통해 보안 게이트웨이에 연결합니다. 기본이 아닌 셸을 사용하는 경우 clish 명령을 실행하여 clish로 변경합니다.

  2. 다음 명령을 실행하여 고객 게이트웨이 ASN(AWS에서 고객 게이트웨이를 생성할 때 제공한 ASN)을 설정합니다.

    set as 65000
  3. 구성 파일의 IPSec Tunnel #1 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 터널 인터페이스를 생성합니다. 터널에 고유 이름을 지정합니다(예: AWS_VPC_Tunnel_1).

    add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436
  4. 구성 파일의 IPSec Tunnel #2 단원에 제공된 정보로 이 명령을 반복하여 두 번째 터널을 생성합니다. 터널에 고유 이름을 지정합니다(예: AWS_VPC_Tunnel_2).

    add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436
  5. 가상 프라이빗 게이트웨이 ASN을 설정합니다.

    set bgp external remote-as 7224 on
  6. 구성 파일의 IPSec Tunnel #1 단원에 제공된 정보를 사용하여 첫 번째 터널에 대한 BGP를 구성합니다.

    set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30 set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
  7. 구성 파일의 IPSec Tunnel #2 단원에 제공된 정보를 사용하여 두 번째 터널에 대한 BGP를 구성합니다.

    set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30 set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
  8. 구성을 저장합니다.

    save config

BGP 정책을 생성하려면

그런 다음, AWS가 광고한 라우팅을 가져오도록 허용하는 BGP 정책을 만듭니다. 그런 다음 고객 게이트웨이를 구성하여 AWS로 로컬 라우팅을 광고합니다.

  1. Gaia WebUI에서 [Advanced Routing], [Inbound Route Filters]를 선택합니다. [Add]를 선택하고 [Add BGP Policy (Based on AS)]를 선택합니다.

  2. Add BGP Policy(BGP 정책 추가)의 첫 번째 필드에서 512와 1024 사이의 값을 선택하고 두 번째 필드에 가상 프라이빗 게이트웨이 ASN을 입력합니다(예: 7224).

  3. 저장을 선택합니다.

로컬 경로를 알리려면

다음은 로컬 인터페이스 경로를 배포하기 위한 단계입니다. 정적 경로 또는 동적 라우팅 프로토콜을 통해 얻은 경로와 같은 다양한 소스의 경로도 재배포할 수 있습니다. 자세한 정보는 Gaia Advanced Routing R77 Versions Administration Guide 단원을 참조하십시오.

  1. Gaia WebUI에서 [Advanced Routing], [Routing Redistribution]을 선택합니다. Add Redistribution From을 선택하고 Interface를 선택합니다

  2. To Protocol에서 가상 프라이빗 게이트웨이 ASN을 선택합니다(예: 7224).

  3. [Interface]에서 내부 인터페이스를 선택합니다. Save를 선택합니다.

새 네트워크 객체를 정의하려면

그런 다음, 가상 프라이빗 게이트웨이에 퍼블릭(외부) IP 주소를 지정하여 각 VPN 터널에 대한 네트워크 객체를 생성합니다. 나중에 이 네트워크 객체를 VPN 커뮤니티를 위한 위성 게이트웨이로 추가합니다. VPN 도메인의 자리 표시자 역할을 하는 빈 그룹도 생성해야 합니다.

  1. Check Point SmartDashboard를 엽니다.

  2. [Groups]에서 컨텍스트 메뉴를 열고 [Groups], [Simple Group]을 선택합니다. 각 네트워크 객체에 동일한 그룹을 사용할 수 있습니다.

  3. [Network Objects]에서 컨텍스트 메뉴를 열고(마우스 오른쪽 버튼 클릭) [New], [Interoperable Device]를 선택합니다.

  4. 이름에 1단계에서 터널에 지정한 이름을 입력합니다(예: AWS_VPC_Tunnel_1 또는 AWS_VPC_Tunnel_2).

  5. [IPv4 Address]에 구성 파일에 제공된 가상 프라이빗 게이트웨이의 외부 IP 주소를 입력합니다(예: 54.84.169.196). 설정을 저장하고 대화 상자를 닫습니다.

    
                                    [Check Point Interoperable Device] 대화 상자
  6. 왼쪽 카테고리 창에서 [choose Topology]를 선택합니다.

  7. VPN 도메인 단원에서 수동으로 정의를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. 확인을 선택합니다.

  8. 구성 파일의 IPSec Tunnel #2 단원에 제공된 정보로 이 단계를 반복하여 두 번째 네트워크 객체를 생성합니다.

  9. 게이트웨이 네트워크 객체로 이동하여 게이트웨이 또는 클러스터 객체를 열고 [Topology]를 선택합니다.

  10. VPN 도메인 단원에서 수동으로 정의를 선택하고 2단계에서 생성한 빈 단순 그룹을 찾아서 선택합니다. 확인을 선택합니다.

    참고

    구성한 기존 VPN 도메인을 유지할 수 있습니다. 하지만 특히 VPN 도메인이 자동으로 파생된 경우 새로운 VPN 연결에서 사용되거나 제공되는 호스트 및 네트워크가 해당 VPN 도메인에서 선언되지 않았는지 확인하십시오.

참고

클러스터를 사용하는 경우 토폴로지를 편집하고 인터페이스를 클러스터 인터페이스로 정의합니다. 구성 파일에 지정된 IP 주소를 사용합니다.

VPN 커뮤니티, IKE 및 IPsec 설정을 생성하고 구성하려면

그런 다음, Check Point 게이트웨이에서 각 터널의 네트워크 객체(상호 운용 가능한 디바이스)를 추가할 VPN 커뮤니티를 생성합니다. IKE(Internet Key Exchange) 및 IPsec 설정도 구성할 수 있습니다.

  1. 게이트웨이 속성에서 카테고리 창의 [IPSec VPN]을 선택합니다.

  2. [Communities], [New], [Star Community]를 선택합니다.

  3. 커뮤니티에 이름을 지정한 다음(예: AWS_VPN_Star) 카테고리 창에서 [Center Gateways]를 선택합니다.

  4. [Add]를 선택하고 참여 게이트웨이 또는 클러스터를 게이트웨이 목록에 추가합니다.

  5. 카테고리 창에서 Satellite Gateways, Add를 선택하고 이전에 생성한 상호 운용 가능한 디바이스(AWS_VPC_Tunnel_1AWS_VPC_Tunnel_2)를 참여 게이트웨이 목록에 추가합니다.

  6. 카테고리 창에서 [Encryption]을 선택합니다. [Encryption Method] 단원에서 [IKEv1 for IPv4 and IKEv2 for IPv6]를 선택합니다. [Encryption Suite] 단원에서 [Custom], [Custom Encryption]을 선택합니다.

    참고

    IKEv1 기능의 경우 IKEv1 for IPv4 and IKEv2 for IPv6 옵션을 선택해야 합니다.

  7. 대화 상자에서 다음과 같이 암호화 속성을 구성하고 구성을 완료하면 확인을 선택합니다.

    • IKE 보안 연결(1단계) 속성:

      • [Perform key exchange encryption with]: AES-128

      • [Perform data integrity with]: SHA-1

    • IPsec 보안 연결(2단계) 속성:

      • [Perform IPsec data encryption with]: AES-128

      • [Perform data integrity with]: SHA-1

  8. 카테고리 창에서 [Tunnel Management]를 선택합니다. [Set Permanent Tunnels], [On all tunnels in the community]를 선택합니다. [VPN Tunnel Sharing] 단원에서 [One VPN tunnel per Gateway pair]를 선택합니다.

  9. 카테고리 창에서 [Advanced Settings]를 확장하고 [Shared Secret]을 선택합니다.

  10. 첫 번째 터널의 피어 이름을 선택하고 편집을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 IPSec Tunnel #1 단원에 입력합니다.

  11. 두 번째 터널의 피어 이름을 선택하고 편집을 선택한 다음, 구성 파일에 지정된 사전 공유 키를 IPSec Tunnel #2 단원에 입력합니다.

    
                                    [Check Point Interoperable Shared Secret] 대화 상자
  12. 여전히 Advanced Settings 카테고리에서 Advanced VPN Properties를 선택하고 다음과 같이 속성을 구성한 후 구성을 완료하면 확인을 선택합니다.

    • IKE(1단계):

      • Use Diffie-Hellman group: Group 2 (1024 bit)

      • [Renegotiate IKE security associations every] 480 [minutes]

    • IPsec(2단계):

      • [Use Perfect Forward Secrecy] 선택

      • Use Diffie-Hellman group: Group 2 (1024 bit)

      • [Renegotiate IPsec security associations every] 3600 [seconds]

방화벽 규칙을 생성하려면

그런 다음, VPC와 로컬 네트워크 간에 통신을 허용하는 방화벽 규칙 및 방향 일치 규칙을 사용하여 정책을 구성합니다. 그런 다음 게이트웨이에 정책을 설치합니다.

  1. SmartDashboard에서 게이트웨이에 대한 [Global Properties]를 선택합니다. 카테고리 창에서 [VPN]을 확장하고 [Advanced]를 선택합니다.

  2. [Enable VPN Directional Match in VPN Column]을 선택하고 [OK]를 선택합니다.

  3. SmartDashboard에서 [Firewall]을 선택하고 다음 규칙을 사용하여 정책을 생성합니다.

    • 필수 프로토콜을 통해 VPC 서브넷이 로컬 네트워크와 통신할 수 있도록 허용합니다.

    • 필수 프로토콜을 통해 로컬 네트워크가 VPC 서브넷과 통신할 수 있도록 허용합니다.

  4. VPN 열의 셀에 대한 컨텍스트 메뉴를 열고 [Edit Cell]을 선택합니다.

  5. [VPN Match Conditions] 대화 상자에서 [Match traffic in this direction only]를 선택합니다. 각각에 대해 추가를 선택하여 다음과 같은 방향 일치 규칙을 생성하고 생성을 완료하면 확인을 선택합니다.

    • internal_clear > VPN 커뮤니티(이전에 생성한 VPN 항성 커뮤니티, 예: AWS_VPN_Star)

    • VPN 커뮤니티 > VPN 커뮤니티

    • VPN 커뮤니티 > internal_clear

  6. SmartDashboard에서 [Policy], [Install]을 선택합니다.

  7. 대화 상자에서 게이트웨이를 선택하고 [OK]를 선택하여 정책을 설치합니다.

tunnel_keepalive_method 속성을 변경하려면

Check Point 게이트웨이는 DPD(Dead Peer Detection)를 사용하여 IKE 연결이 가동 중지되는 시간을 식별할 수 있습니다. 영구 터널에 대해 DPD를 구성하려면 영구 터널이 AWS VPN 커뮤니티에 구성되어 있어야 합니다.

기본적으로 VPN 게이트웨이의 tunnel_keepalive_method 속성은 tunnel_test로 설정됩니다. 값을 dpd로 변경해야 합니다. 타사 VPN 게이트웨이를 포함하여 DPD 모니터링이 필요한 VPN 커뮤니티의 각 VPN 게이트웨이는 tunnel_keepalive_method 속성으로 구성해야 합니다. 동일한 게이트웨이에 대해 다른 모니터링 메커니즘을 구성할 수 없습니다.

GuiDBedit 도구를 사용하여 tunnel_keepalive_method 속성을 업데이트할 수 있습니다.

  1. Check Point SmartDashboard를 열고 [Security Management Server], [Domain Management Server]를 선택합니다.

  2. [File], [Database Revision Control...]을 선택하고 변경된 버전 스냅샷을 생성합니다.

  3. SmartDashboard, SmartView Tracker 및 SmartView Monitor 등 모든 SmartConsole 창을 닫습니다.

  4. GuiBDedit 도구를 시작합니다. 자세한 정보는 Check Point Support Center의 Check Point Database Tool 문서를 참조하십시오.

  5. [Security Management Server], [Domain Management Server]를 선택합니다.

  6. 왼쪽 상단 창에서 [Table], [Network Objects], [network_objects]를 선택합니다.

  7. 오른쪽 상단 창에서 관련된 [Security Gateway], [Cluster] 객체를 선택합니다.

  8. CTRL+F를 누르거나 [Search] 메뉴를 사용하여 다음 tunnel_keepalive_method를 검색합니다.

  9. 아래쪽 창에서 tunnel_keepalive_method에 대한 컨텍스트 메뉴를 열고 [Edit...]를 선택합니다. dpd, 확인을 선택합니다.

  10. AWS VPN 커뮤니티에 포함된 각 게이트웨이에 대해 7-9단계를 반복합니다.

  11. [File], [Save All]을 선택합니다.

  12. GuiDBedit 도구를 닫습니다.

  13. Check Point SmartDashboard를 열고 [Security Management Server], [Domain Management Server]를 선택합니다.

  14. 관련된 [Security Gateway], [Cluster] 객체에 정책을 설치합니다.

자세한 정보는 Check Point Support Center의 New VPN features in R77.10 문서를 참조하십시오.

TCP MSS 클램핑을 활성화하려면

TCP MSS 클램핑은 TCP 패키지의 최대 세그먼트 크기를 축소하여 패킷 조각화를 방지합니다.

  1. 다음 디렉터리로 이동합니다. C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\

  2. GuiDBEdit.exe 파일을 실행하여 Check Point Database Tool을 엽니다.

  3. [Table], [Global Properties], [properties]를 선택합니다.

  4. fw_clamp_tcp_mss에 대해 [Edit]을 선택합니다. 값을 true로 변경하고 확인을 선택합니다.

터널 상태를 확인하려면

전문가 모드의 명령줄 도구에서 다음 명령을 실행하여 터널 상태를 확인할 수 있습니다.

vpn tunnelutil

다음에 표시되는 옵션에서 1을 선택하여 IKE 연결을 확인하고 2를 선택하여 IPsec 연결을 확인합니다.

Check Point Smart Tracker Log를 사용하여 연결을 통해 패킷이 암호화되는지도 확인할 수 있습니다. 예를 들어 다음 로그는 VPC로 이동하는 패킷이 터널 1을 통해 전송되었고 암호화되었음을 나타냅니다.


                            Check Point 로그 파일
SonicWALL

SonicOS 관리 인터페이스를 사용하여 SonicWALL 디바이스를 구성할 수 있습니다. 터널 구성에 대한 자세한 내용은 정적 라우팅을 위한 사용자 인터페이스 절차 단원을 참조하십시오.

관리 인터페이스로는 디바이스에 대해 BGP를 구성할 수 없습니다. 그 대신에 BGP라는 섹션에서 예시 구성 파일에 제공된 명령줄 지침을 사용해야 합니다.

Cisco 디바이스에 대한 추가 정보

일부 Cisco ASA는 액티브/스탠바이 모드만 지원합니다. 이런 Cisco ASA를 사용할 때는 액티브 터널이 한 번에 한 개만 있을 수 있습니다. 첫 번째 터널을 사용할 수 없으면 다른 스탠바이 터널이 활성화됩니다. 이런 중복성을 사용할 때는 항상 터널 중 하나를 통해 VPC에 연결되어 있어야 합니다.

Cisco ASA 9.7.1 이상 버전은 액티브/액티브 모드를 지원합니다. 이런 Cisco ASA를 사용할 때는 동시에 두 터널을 활성화할 수 있습니다. 이런 중복성을 사용할 때는 항상 터널 중 하나를 통해 VPC에 연결되어 있어야 합니다.

Cisco 디바이스의 경우 다음을 수행해야 합니다.

  • 외부 인터페이스를 구성합니다.

  • Crypto ISAKMP Policy Sequence 번호가 고유한지 확인합니다.

  • Crypto List Policy Sequence 번호가 고유한지 확인합니다.

  • Crypto IPsec Transform Set와 Crypto ISAKMP Policy Sequence가 디바이스에 구성된 다른 모든 IPsec 터널과 일치하는지 확인합니다.

  • SLA 모니터링 번호가 고유한지 확인합니다.

  • 고객 게이트웨이 디바이스와 로컬 네트워크 사이에서 트래픽을 이동하는 모든 내부 라우팅을 구성합니다.

Juniper 디바이스에 대한 추가 정보

다음 정보는 Juniper J-Series 및 SRX 고객 게이트웨이 디바이스의 구성 파일 예제에 적용됩니다.

  • 외부 인터페이스는 ge-0/0/0.0으로 지칭됩니다.

  • 터널 인터페이스 ID를 st0.1st0.2라고 합니다.

  • 업링크 인터페이스의 보안 영역을 식별합니다(구성 정보는 기본 "untrust" 영역을 사용).

  • 내부 인터페이스의 보안 영역을 식별합니다(구성 정보는 기본 "trust" 영역을 사용).

테스트

Site-to-Site VPN 연결 테스트에 대한 자세한 내용은 Site-to-Site VPN 연결 테스트 단원을 참조하십시오.